Talos 読者の皆様、こんにちは。
Cisco Talos インシデント対応チームは今、認定ラッシュに沸き返っています。まず、インシデント対応業界を紹介する Forrester 社の最新の四半期レポートに当チームが掲載され、インシデント対応サービスプロバイダとして認定されました。またその直前に発表された IDC MarketScape レポートでも、当チームが IR サービスにおけるリーダーの評価を獲得しました。
IT 好きの人に喜ばれるホリデーギフトをお探しの方は、SNORTⓇ カレンダーを無料で配布しておりますので今すぐお申し込みください。こちらの簡単なアンケートに記入いただくだけで、カレンダーを無料でお送りいたします(申し訳ございませんが、配送先は米国内のみとさせていだたきます)。
1 週間のサイバーセキュリティ概況
- 米国国務省に勤務する複数の職員の iPhone が Pegasus スパイウェアに感染していたことが最近のレポートで判明。Apple 社は最近、同社のデバイスが Pegasus の標的になったとして、このスパイウェアを作成した NSO Group を提訴しました。
- 先週、レシートプリンタの乗っ取りが発生。何者かが、労働に反対するメッセージを米国の多数の企業に送り付けました。乗っ取られたプリンタからは長文が印刷され、その内容は、給料について同僚と話し合い、仕事に不満がある場合は退職するよう従業員に促すものでした。
- Google を含む大手テクノロジー企業の多くが従業員に対する多要素認証の義務付けを推進。しかし攻撃者はすでに回避策を編み出しています。
- メリーランド州保健省のいくつかの重要なサービスがサイバー攻撃を受けて中断。同州の入院患者は増加していますが、水曜日午後現在、同省の新型コロナウイルスの追跡情報は更新されていません。個人データの侵害はなかったと当局は述べています。
- 「Babam」というネットワーク アクセス ブローカーがこの 2 年で急速に人気を集める。盗まれた VPN ログイン情報を攻撃者に販売しており、標的ネットワークへの侵入やマルウェアの拡散に悪用されています。Babam についてこれまでに判明している事実を研究者が記事にまとめています。
- 2 年近く続くコロナ禍と在宅勤務という新たな現実の中で、あらゆる業界で従業員の疲弊が深刻化。そのためセキュリティに関するガイドラインをおろそかにしてしまう組織や個人が多くなっています。
- Microsoft 社が 1 万を超す中国の Web サイトの制御を掌握。同社の話では、問題の Web サイトを使用していたのは「高度に洗練された」攻撃グループだということです。米国を含む 29 か国の政府機関、シンクタンク、人権団体が遅くとも 2016 年から標的にされていたと記事は伝えています。
- Google が Glupteba ボットネットを無力化する措置を講じたと発表。同社は攻撃に使用されていた 100 件以上の Google アカウントを無効にして攻撃者らを提訴し、ボットネットで使用されていたサーバーをシャットダウンしました。
- 世界の金融システムに対する大規模なサイバー攻撃を想定した 10 か国合同演習がイスラエル主導の下で最近実施。世界の外国為替市場と債券市場、および輸入業者と輸出業者の間の取引に対して一連の攻撃が行われたと仮定して演習が行われました。
最近の注目すべきセキュリティ問題
Magnat がマルバタイジング攻撃を展開し、情報窃取マルウェア、バックドア、悪意のある Chrome 拡張機能を配布
Talos はこのほど、人気ソフトウェアのインストーラに見せかけてマルウェアを配布し、標的のシステムで実行させるという攻撃を確認しました。2018 年後半に始まった一連のマルウェア配布攻撃もその一環です。主な標的はカナダで、他にも米国、オーストラリア、一部の EU 諸国が狙われています。今回の攻撃では、これまで文書化されていなかった 2 種類のマルウェアファミリ(バックドアと悪意のある Google Chrome 拡張機能)が一貫して確認されており、同時に配布されています。攻撃を実行しているのは「Magnat」という正体不明の攻撃者で、新たに登場した 2 種類のマルウェアを作成したのもおそらく同じ攻撃者です。マルウェアの開発と改良も絶えず続けています。盗んだログイン情報の販売、不正な取引、システムへのリモート デスクトップ アクセスによって金銭的利益を得ることが狙いだと考えられます。
SNORTⓇ SID:58650、58651
ClamAV 署名:Win.Dropper.MagnatExtension-9911899-0
人気の高いパッチ管理ソフトウェアの脆弱性をエクスプロイトする攻撃が活発化
ソフトウェア会社 Zoho は、同社の Desktop Central および Desktop Central MSP サービスをできるだけ早く更新するようにユーザーに注意喚起しました。両製品には追跡コード CVE-2021-44515 が付与されている脆弱性があり、それをエクスプロイトする攻撃が活発化しています。この攻撃を受けると、影響を受ける ManageEngine Desktop Central サーバーで認証がバイパスされ、任意のコードが実行される危険性があります。Zoho 社は、この脆弱性を狙った攻撃の標的になったかどうかを確認するためのエクスプロイト検出ツールもリリースしています。
SNORTⓇ SID:58703
今週最も多く見られたマルウェアファイル
SHA 256:0ab024b0da0436fddc99679a74a26fdcd9851eb00e88ff2998f001ccd0c9016f
MD5:ee30d6928c9de84049aa055417cc767e
一般的なファイル名:app.exe
偽装名:なし
検出名:Glupteba::gravity::W32.Auto:0ab024b0da.in03.Talos
SHA 256:5bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13
MD5: a6a7eb61172f8d988e47322ebf27bf6d
一般的なファイル名:wx.exe
偽装名:なし
検出名:Win.Dropper.Wingo::in07.talos
SHA 256: 1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37
MD5:a5e345518e6817f72c9b409915741689
一般的なファイル名:swupdater.exe
偽装名:Wavesor SWUpdater
検出名: W32.1B259D8CA9.Wavesor.SSO.Talos
SHA 256: e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762
MD5: 6ea750c9d69b7db6532d90ac0960e212
VirusTotal:
一般的なファイル名:deps.zip
偽装名:なし
検出名:Auto.E5044D5AC2.242358.in07.Talos
SHA 256:1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6
MD5:ee62e8f42ed70e717b2571c372e9de9a
一般的なファイル名:lHe
偽装名:なし
検出名: W32.Gen:MinerDM.24ls.1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 12 月 09 日に Talos Group のブログに投稿された「Threat Source Newsletter (Dec. 9, 2021)」の抄訳です。